מדריך מקוצר: בדקו את אבטחת המידע שלכם לפני שאתם פורצים לחו׳׳ל

תחום אבטחת המידע עבר שינויים רבים בשנים האחרונות בעקבות לא מעט פריצות וחשיפה של נתונים אישיים, וכעת חברות שרוצות להתרחב לשווקים גלובליים נדרשות לעמוד ברגולציות שונות. לפני שאתם מתרחבים וכדי שלא תבזבזו זמן וכסף, הכנו לכם מדריך מקוצר לבדיקת אבטחת הסייבר שלכם

 Feifei Cui-Paoluzzo/ Getty Images Israel

צלם/תמונה: Feifei Cui-Paoluzzo/ Getty Images Israel

מאת תום רוזן

חברות שמתכננות כניסה לשווקים חדשים מעבר לים צריכות לדאוג בראש ובראשונה למצב אבטחת הסייבר שלהן. הסיבה לכך פשוטה: החברות והארגונים הגלובליים כפופים לרגולציה או עובדים בהתאם לנהלי אבטחת מידע פנימיים, ואם הם לא יראו את הדו”ח של מבדק החדירה או את תעודת התקן שלכם, הם פשוט לא יוכלו להתקדם, ולא משנה כמה ירצו לעבוד אתכם.

הכנה של אבטחת הסייבר היא צעד הכרחי לפני יציאה לשוק הבינלאומי, ולא ניתן לגשר או לדלג על שלב זה. הרי חברות בינלאומיות מחויבות ללקוחות גלובליים מרובים, לספקים ולשותפים עסקיים, ועליהן לקיים תהליכי אבטחת מידע סדורים, המטפלים בכלל הסיכונים הנובעים ממערכותיהם, מהתהליכים העסקיים שלהם או מעיבוד המידע שהם מבצעים, אחרת פעילותם תיפגע.

תקנות, כללים וחוקי פרטיות משתנים באופן ניכר בין מדינות, ויש חשיבות עליונה להגנה על המידע העסקי והמידע על הלקוחות. הבנה טובה של הסביבה הרגולטורית במדינות שבהן החברה תפעל תעזור להיכנס לשוק החדש מהר יותר, כך שהעסקים יוכלו לרוץ עם כמה שפחות עיכובים.

ובכל זאת, יש חוקים ותקנות שכולם מסכימים עליהם. אספנו עבורכם את הפעילויות, החוקים ותקני אבטחת המידע והפרטיות החיוניים והחשובים ביותר שצריך להכיר לפני שיוצאים לשוק הבינלאומי.

הסמכת ISO 27001

ארגון ISO הוא ארגון שעוסק בתקנים הבינלאומיים. תקן ISO 27001 הוא תקן הממוקד בניהול אבטחת המידע, והוא מוכר כפרוטוקול בינלאומי שמסייע לחברות לנהל טוב יותר את הסיכונים הנלווים לניהול נכסי המידע שלהן. הסמכת ISO 27001 היא גישה פרקטית שמראה כי החברה מנהלת את אבטחת המידע שלה בהתאם לפרוטוקולים הבינלאומיים המשמעותיים ביותר.

סקר סיכונים

ביצוע סקר סיכונים מאפשר לנהל סיכונים באופן ברור יותר. מדובר בצעד קריטי שנמצא בבסיס של כל תקני וחוקי אבטחת המידע והפרטיות, בין אם החברה פועלת בתעשייה עמוסת רגולציה וחוקים ובין אם לא.

סקר אבטחת מידע מתייחס לטווח רחב של שאלות שמסייעות בקביעת רמת הסיכון של הארגון או המערכת. רוב הסקרים הללו מבוססים על תקן ISO 27001, ומכאן שאם הארגון פועל בכפוף לתקן זה אפשר לחסוך עבודה רבה. הסקר מבוצע לרוב על ידי חברות ייעוץ בתחום אבטחת המידע, וניתן לעשות אותו בעבור מערכת מסוימת, נכסים ספציפיים או ברמת כלל הארגון. הסקר הוא לרוב תשאולי וכולל ראיונות עם גורמי מפתח בארגון, בדיקות מדגמיות ממערכות ולקיחת עדויות.

יופי, התחלנו. מה עכשיו? הסקרים לרוב מבוצעים על סמך מתודולוגיות מוכרות היטב, דוגמת ISO 27005 שהוא תקן שמסביר איך מבצעים סקר סיכונים. בסיום הפעילות מתקבל דו”ח המכיל את הנכסים שנסקרו, את הסיכונים, הבקרות הקיימות למזעור הסיכונים והמלצות להמשך. עם זאת, חשוב לזכור שהתשובות מספקות תמונה אחת שנוכנה לזמן מסוים, ולכן חשוב לבצע את הסקר באופן מחזורי.

בדיקות חדירה (PT)

בדיקות חדירה (Penetration Testing או Pen Test) הן הדרך האידיאלית לקבוע את חסינותה של מערכת או תשתית. הבדיקה מתבצעת על ידי גורם אנושי שעורך ניסיונות פריצה מבוקרות, על מנת לבדוק אם קיימות פגיעויות טכנולוגיות או לוגיות ואת רמת הסיכון בכל פגיעות שכזו ניסיונות פריצה מפוקחות. בדיקות חדירה מסוגלות לאתר חולשות במערכת כדי שניתן יהיה להתכונן טוב יותר לכל סיכון פוטנציאלי.

חברות שמטמיעות את המוצר שלהן אצל לקוחות לרוב יידרשו להציג דו”ח בדיקת חדירה נקי מממצאים (טוב, לא נקי לגמרי אבל לפחות תטפלו בממצאים הגבוהים).

 Petri Oeschger/ Getty Images Israel

צלם/תמונה: Petri Oeschger/ Getty Images Israel

תאימות ל-PCI DSS

PCI הוא תקן לאבטחת מידע בכל הקשור למידע אשראי וביצוע תשלומים אונליין. התקן רלוונטי לכל החברות שמבצעות תשלומים אונליין ושומרות את פרטי התשלום עבור הלקוחות והספקים, והוא מכסה גם ספקים המהווים צד שלישי שגם להם עשויה להיות גישה לנתונים. כל חברה שמקבלת תשלומי אונליין באמצעות כל כרטיס אפשרי צריכה לעמוד בתקן PCI DSS.

ציות ל-GDPR

חוק הגנת הפרטיות (GDPR) ייכנס לתוקף במאי 2018. מדובר בחוק שמגן על המידע האישי של כל אזרחי ובעלי העסקים באיחוד האירופאי, וכן על כל חברה שמנהלת קשר עסקי עם אזרחים או ארגונים באיחוד האירופאי, אך עמידה בתנאיו עלולה להיות משימה לא פשוטה ודורשת היערכות טכנולוגית מחברות רבות.

לדוגמה, הזכות של לקוח להימחק מהרשת הייתה הרחבה של דירקטיבה קודמת, אך למרבית הארגונים לא קיימת היכולת הזאת ללא התאמה של המערכות הפנימיות והתהליכים הארגונים. נושא עיקרי נוסף שהחוק מטפל בו הוא פרטיות כברירת מחדל. המשמעות היא כי על כל ארגון העוסק בעיבוד של מידע אישי של נתיני מידע לתכנן את מערכות המחשוב שלו והתהליכים הארגוניים שלו, כך שהמידע שייאסף יהיה רק המינימום הנדרש וגם יוגן כראוי.

עוד חלק של החוק החדש שעלול להוות בעיה לחברות הוא העברת מידע, ובמילים אחרות – לנשוא המידע יש הזכות לבקש מהחברה המעבדת את נתוניו לקבל את כלל המידע שברשותה לגביו, ואף לקבל זאת בפורמט המאפשר ייצוא ומעבר לחברה מתחרה.

ציות ל-HIPAA

חוק אחריות הדיווח של ביטוחי הבריאות (HIPAA) מתייחס באופן ספציפי לנתונים רפואיים ולנתוני ביטוח רפואי אישיים. כל חברה ששומרת מידע בריאותי של לקוחותיה נדרשת עמידה בדרישות ה-HIPAA. בכלל זה נמנים ספקי שירותים רפואיים, חברות ביטוחים רפואיים וכן חברות שמנהלות נתוני אשראי או מידע הקשורים לאחד מאלה.

עמידה בתקנים הבינלאומיים היא חיונית להמשכיות העסקית ובמהלכי חדירה לשווקים מעבר לים. ברוב המקרים, עד שתושג עמידה בדרישות אבטחת המידע, כללי הציות או עד קבלת הסמכה – כל החוזים, העסקאות והקשרים העסקיים האחרים עם שותפים או לקוחות עלולים להישאר בהמתנה.

אך במקום לשבת ולחכות לדרישות שיגיעו מלקוחות או משותפים עסקיים ברגע האמת, עדיף להיערך לפי התוכניות העסקיות שלכם. דעו את השוק שאליו אתם מכוונים, זהו את הרגולציות הרלוונטיות ואת המשמעויות בעמידה בהן והכינו את התשתית מבעוד מועד על מנת לא להיתקל בחסמים בשלב המכירה.

תקנים וחוקים

עמידה בתקנים ובדרישות בעולם אבטחת המידע דורשות הבנה עמוקה של החוקים והתקנים השונים. מומלץ לקחת ייעוץ ייעודי בתחום זה כדי לצלוח את הפרויקט באופן מהיר ויעיל, משום שכל פרויקט עלול להימשך גם כמה חודשים טובים וייעוץ טוב יכול לקצר זאת. לא חסרים חוקים בתחום אבטחת המידע, אך בין התקינות והחוקים המובילים בעולם ניתן למנות את הבאים:

PCI DSS – תקן אבטחת מידע לכרטיסי אשראי שעליו הורחב למעלה. מאז כינונו של התקן בשנת 2004, ארגונים העוסקים בסליקת אשראי בצורה כלשהי מחויבים לעמידה בתנאי התקן הקשיחים.

Privacy Shield – יורשה של מסגרת ה-Safe Harbour. תקן ה-Privacy Shield מאפשר לארגונים אירופאיים להעביר מידע אישי של לקוחותיהם לארגונים אמריקאים העומדים בתקינה.

ISO 27001 – התקן המוביל בעולם לאבטחת מידע, שאותו דורשים מרבית הארגונים הבינלאומיים איתם תרצו לבוא במגע.

 

הכתבה בחסות GRSee Consulting

GRSee Consulting הינה חברה המתמחה במתן פתרונות ושירותים בתחום אבטחת המידע, פרטיות, ניהול סיכונים ותאימות עם רגולציות ותקינות.
החברה פועלת בשוק הישראלי והבינלאומי החל מ-2009 ממשרדיה בארץ ובניו-יורק. לחברה ניסיון רב בתחום אבטחת המידע והפרטיות ועובדת אל מול מאות לקוחותיה. החברה מציעה מגוון רחב של שירותי ייעוץ, מבצעת מספר רב של פרויקטי הסמכה וליווי אל מול גופים ישראליים ובינלאומיים. לפרטים נוספים לחצו כאן.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

1 תגובה על "מדריך מקוצר: בדקו את אבטחת המידע שלכם לפני שאתם פורצים לחו׳׳ל"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.

סידור לפי:   חדש | ישן | הכי מדורגים
Roy
Guest

Tldr

wpDiscuz

תגיות לכתבה: